Sin Seguridad IT

Censura, Internet, El fin de la democracia

2010-01-18T00:47:00.000-08:00

La grandeza de una democracia se mide por la transparecia de sus instituciones y la separacion de los poderes del estado, en los estamentos politicos y judicales, cuando la politica, pretende controlar a la justicia, pocas opciones le quedan al ciudadano para defenderse de los abusos de los poderosos.
Lo mas peligros para una oligarquia politica, es que los ciudadanos tengan acceso a un medio de expresion libre, gratuito, sin censura y universal. Ya que atraves del mismo se puede hacer publico y denunciar los abusos del poder.
Terminemos con los estereotipos de los partidos politicos, no son de izquierdas o de derechas, por el color de sus siglas, sino por sus acciones y por ellas debemos juzgarlos.

Noticias
TV POR INTERNET ¡! CUIDADO!!
El Gobierno español también pretende implantar la censura en las televisiones por Internet.

Red SOStenible

2010-01-12T06:33:00.001-08:00

Consideramos imprescindible la retirada de la disposición final primera de la Ley de Economía Sostenible por los siguientes motivos:

1 -Viola los derechos constitucionales en los que se ha de basar un estado democrático en especial la presunción de inocencia, libertad de expresión, privacidad, inviolabilidad domiciliaria, tutela judicial efectiva, libertad de mercado, protección de consumidoras y consumidores, entre otros.

2 - Genera para la Internet un estado de excepción en el cual la ciudadanía será tratada mediante procedimientos administrativos sumarísimos reservados por la Audiencia Nacional a narcotraficantes y terroristas.

3 - Establece un procedimiento punitivo “a la carta” para casos en los que los tribunales ya han manifestado que no constituían delito, implicando incluso la necesidad de modificar al menos 4 leyes, una de ellas orgánica. Esto conlleva un cambio radical en el sistema jurídico y una fuente de inseguridad para el sector de las TIC (Tecnología de la Información y la Comunicación). Recordamos, en este sentido, que el intercambio de conocimiento y cultura en la red es un motor económico importante para salir de la crisis como se ha demostrado ampliamente.

4 - Los mecanismos preventivos urgentes de los que dispone la ley y la judicatura son para proteger a toda ciudadanía frente a riesgos tan graves como los que afectan a la salud pública. El gobierno pretende utilizar estos mismos mecanismos de protección global para beneficiar intereses particulares frente a la ciudadanía. Además la normativa introducirá el concepto de "lucro indirecto", es decir: a mí me pueden cerrrar el blog porque "promociono" a uno que "promociona" a otro que linka a un tercero que hace negocios presuntamente ilícitos

5 - Recordamos que la propiedad intelectual no es un derecho fundamental contrariamente a las declaraciones del Ministro de Justicia, Francisco Caamaño. Lo que es un derecho fundamental es el derecho a la producción literaria y artística.

6 - De acuerdo con las declaraciones de la Ministra de Cultura, esta disposición se utilizará exclusivamente para cerrar 200 webs que presuntamente están atentando contra los derechos de autor. Entendemos que si éste es el objetivo de la disposición, no es necesaria, ya que con la legislación actual existen procedimientos que permiten actuar contra webs, incluso con medidas cautelares, cuando presuntamente se esté incumpliendo la legalidad. Por lo que no queda sino recelar de las verdaderas intenciones que la motivan ya que lo único que añade a la legislación actual es el hecho de dejar la ciudadanía en una situación de grave indefensión jurídica en el entorno digital.

7 - Finalmente consideramos que la propuesta del gobierno no sólo es un despilfarro de recursos sino que será absolutamente ineficaz en sus presuntos propósitos y deja patente la absoluta incapacidad por parte del ejecutivo de entender los tiempos y motores de la Era Digital.

La disposición es una concesión más a la vieja industria del entretenimiento en detrimento de los derechos fundamentales de la ciudadanía en la era digital.

La ciudadanía no puede permitir de ninguna manera que sigan los intentos de vulnerar derechos fundamentales de las personas, sin la debida tutela judicial efectiva, para proteger derechos de menor rango como la propiedad intelectual. Dicha circunstancia ya fué aclarada con el dictado de inconstitucionalidad de la ley Corcuera (o ley de patada en la puerta). El Manifiesto en defensa de los derechos fundamentales en Internet, respaldado por más de 200 000 personas, ya avanzó la reacción y demandas de la ciudadanía antes la perspectiva inaceptable del gobierno.

Para impulsar un definitivo cambio de rumbo y coordinar una respuesta conjunta, el 9 de enero se ha constituido la "Red SOStenible" una plataforma representativa de todos los sectores sociedad civil afectados. El objetivo es iniciar una ofensiva para garantizar una regulación del entorno digital que permita expresar todo el potencial de la Red y de la creación cultural respetando las libertades fundamentales.

En este sentido, reconocemos como referencia para el desarrollo de la era digital, la Carta para la innovación, la creatividad y el acceso al conocimiento, un documento de síntesis elaborado por más de 100 expertos de 20 países que recoge los principios legales fundamentales que deben inspirar este nuevo horizonte.

En particular, consideramos que en estos momentos es especialmente urgentes la implementación por parte de gobiernos e instituciones competentes, de los siguientes aspectos recogidos en la Carta:

1 - Las/os artistas como todos los trabajadores tienen que poder vivir de su trabajo (referencia punto 2 "Demandas legales", párrafo B. "Estímulo de la creatividad y la innovación", de la Carta);

2 - La sociedad necesita para su desarrollo de una red abierta y libre (referencia punto 2 "Demandas legales", párrafo D "Acceso a las infraestructuras tecnológicas", de la Carta);

3 - El derecho a cita y el derecho a compartir tienen que ser potenciado y no limitado como fundamento de toda posibilidad de información y constitutivo de todo conocimiento (referencia punto 2 "Demandas legales", párrafo A "Derechos en un contexto digital", de la Carta);

4 - La ciudadanía debe poder disfrutar libremente de los derechos exclusivos de los bienes públicos que se pagan con su dinero, con el dinero publico (referencia punto 2 "Demandas legales", párrafo C "Conocimiento común y dominio público", de la Carta);

5 -Consideramos necesaria una reforma en profundidad del sistema de las entidades de gestión y la abolición del canon digital (referencia punto 2 "Demandas legales", párrafo B. "Estímulo de la creatividad y la innovación", de la Carta).

Por todo ello hoy se inicia la campaña INTERNET NO SERA OTRA TELE y se llevarán a cabo diversas acciones ciudadanas durante todo el periodo de la presidencia española de la UE.

Consideramos particularmente importantes en el calendario de la presidencia de turno española el II Congreso de Economía de la Cultura (29 y 30 de marzo en Barcelona), Reunión Informal de ministros de Cultura (30 y 31 de marzo en Barcelona) y la reunión de ministros de Telecomunicaciones (18 a 20 de abril en Granada).

La Red tiene previsto reunirse con representantes nacionales e internacionales de partidos políticos, representantes de la cultura y legaciones diplomáticas.

Firmado Red SOStenible

http://Red-SOStenible.net

La Red Sostenible somos todo. Si quieres adherirte a este texto, cópialo, blogguéalo, difúndelo.

En Defensa de los Derechos Fundamentales en Internet

2009-12-04T10:23:00.000-08:00

Ante la inclusión en el Anteproyecto de Ley de Economía sostenible de modificaciones legislativas que afectan al libre ejercicio de las libertades de expresión, información y el derecho de acceso a la cultura a través de Internet, los periodistas, bloggers, usuarios, profesionales y creadores de Internet manifestamos nuestra firme oposición al proyecto, y declaramos que:

* 1. Los derechos de autor no pueden situarse por encima de los derechos fundamentales de los ciudadanos, como el derecho a la privacidad, a la seguridad, a la presunción de inocencia, a la tutela judicial efectiva y a la libertad de expresión.
* 2. La suspensión de derechos fundamentales es y debe seguir siendo competencia exclusiva del poder judicial. Ni un cierre sin sentencia. Este anteproyecto, en contra de lo establecido en el artículo 20.5 de la Constitución, pone en manos de un órgano no judicial -un organismo dependiente del ministerio de Cultura-, la potestad de impedir a los ciudadanos españoles el acceso a cualquier página web.
* 3. La nueva legislación creará inseguridad jurídica en todo el sector tecnológico español, perjudicando uno de los pocos campos de desarrollo y futuro de nuestra economía, entorpeciendo la creación de empresas, introduciendo trabas a la libre competencia y ralentizando su proyección internacional.
* 4. La nueva legislación propuesta amenaza a los nuevos creadores y entorpece la creación cultural. Con Internet y los sucesivos avances tecnológicos se ha democratizado extraordinariamente la creación y emisión de contenidos de todo tipo, que ya no provienen prevalentemente de las industrias culturales tradicionales, sino de multitud de fuentes diferentes.
* 5. Los autores, como todos los trabajadores, tienen derecho a vivir de su trabajo con nuevas ideas creativas, modelos de negocio y actividades asociadas a sus creaciones. Intentar sostener con cambios legislativos a una industria obsoleta que no sabe adaptarse a este nuevo entorno no es ni justo ni realista. Si su modelo de negocio se basaba en el control de las copias de las obras y en Internet no es posible sin vulnerar derechos fundamentales, deberían buscar otro modelo.
* 6. Consideramos que las industrias culturales necesitan para sobrevivir alternativas modernas, eficaces, creíbles y asequibles y que se adecuen a los nuevos usos sociales, en lugar de limitaciones tan desproporcionadas como ineficaces para el fin que dicen perseguir.
* 7. Internet debe funcionar de forma libre y sin interferencias políticas auspiciadas por sectores que pretenden perpetuar obsoletos modelos de negocio e imposibilitar que el saber humano siga siendo libre.
* 8. Exigimos que el Gobierno garantice por ley la neutralidad de la Red en España, ante cualquier presión que pueda producirse, como marco para el desarrollo de una economía sostenible y realista de cara al futuro.
* 9. Proponemos una verdadera reforma del derecho de propiedad intelectual orientada a su fin: devolver a la sociedad el conocimiento, promover el dominio público y limitar los abusos de las entidades gestoras.
* 10. En democracia las leyes y sus modificaciones deben aprobarse tras el oportuno debate público y habiendo consultado previamente a todas las partes implicadas. No es de recibo que se realicen cambios legislativos que afectan a derechos fundamentales en una ley no orgánica y que versa sobre otra materia.

La Fabula del cerdo y las gallinas II

2008-12-14T22:53:00.000-08:00

Pues eso, para los que le pico el gusanillo de Scrum un pequeño video.

Scrum en 10 minutos.

Feliz, presentacion

Scrum o "La fabula del cerdo y la gallina"

2008-12-09T23:01:00.000-08:00

Hablando hoy sobre cerdos y gallinas, me vino a la mente el tema de Scrum y de las reuniones de trabajo, con todos esos cerdos (normalmente uno, el responsable que no jefe, pelotillero de turno) las gallinas (los pelotas del responsable pelotillero, que no destacan por su capacidad tecnica, excepto la de traer cafes y hacer la pelota al pelota) y el equipo (los que saben lo que hacen, como lo hacen y sobre todo como hacerlo) y todos esos roles, que son los que se encuentran definidos en Scrun , el cual es muy util, libre he interesante de gestionar para aprovechar en todos esos proyectos, lios en los que estamos metidos.

Scrum by Wikipedia

Pd.

Aunque no es especifico para seguridad, la organizacion del flujo de trabajo y su capacidad de actuacion permiten definir procesos y roles muy utilies para utilizar en los equipos de trabajo de seguridad con todas esas tareas, procesos, revisiones, reuniones, implantaciones, pruebas, etc que tenemos encima de la mesa.

feliz fabula de cerdos y gallinas

Gestion de Soportes, NIST 800-88

2008-11-27T04:09:00.000-08:00

Quien no se ha peguntado que procedimiento debe de seguirse para la gestion de esos Pen-Drives, CD, HD, Cintas, etc que utilizamos en nuestra empresa.

Pues para solucionar estas dudas, aquí tenemos una pequeña guia con un bonito diagrama de flujo para su correcta gestión. Todo esto esta basado en la guia NIST 800-88 para el “saneamiento y gestión de soportes”.

Se establecen tres niveles de seguridad para la información baja, moderada y alta (podemos aplicar los niveles de seguridad de LOPD, ya se equivalen) y después, aplicamos tres procedimientos para su control, estos son, distorsionar, purgar y destruir.

Distorsionar: equivaldría a la modificación de la información lógica del medio o archivo a tratar, esta parte es compleja, ya que se introducen varias técnicas posibles a aplicar, desde la encriptacion de archivos, limpieza de los metadatos contenidos en los ficheros a procesos de censura de la información contenida en los mismos, así como otras técnicas de gestión de la información logica contenida, tales como control de distribución por diccionarios de sinónimos, etc.

(El control por diccionario de sinónimos es una técnica para el trazado de la información, dentro de la empresa o en entornos controlados, cosiste principalmente en la aplicación de sustitución de sinónimos en un documento raíz, siendo los resultantes distribuidos a los distintos niveles de distribución, permitiendo averiguar en caso de filtración, de que departamento o persona a filtrado su copia del mismo)

Purgar: esta es sencilla, buscar y eliminar la información a nivel físico dentro del dispositivo, podemos utilizar el típico multi-format, desmagnetizadores y cualquier técnica que impida una recuperación física de la información contenida en el soporte.

Destruir: Esta es la mas facil, Kill-all, eliminar el soporte fisico, eso es, destruir, quemar, aplastar, fundir, mas halla de cualquier técnica de recuperación o reparación física.

Para comprender el flujo y decisiones a aplicar, qui dejamos un bonito diagrama.

Plantillas y ejemplos, Continuidad de Negocio

2008-11-13T22:43:00.000-08:00

Todo empieza con un sonoro ARHHHH!!!! y es que algo se ha roto de verdad dentro de nuestro querido CPD, y tras el primer sudor frio, llega la pregunta del millon y ahora que?.

Pues para eso, nos preparamos, para eso estamos listos, para eso nos entrenamos, para eso aprendemos dia a dia, o no?

Pues como no tengo mucha confianza en estas situaciones, mejor leemos un rato y nos preparamos para el dia que nunca llegara.

Desde del centro de desastres de canada.
planes, plantillas y ejemplos de desastres.

a disfrutar, y a jugar!

Privacidad sobre tu navegador

2008-11-02T23:33:00.000-08:00

Que informacion se puede sacar de tu navegador GPS?
Pues tras bloquear la tarjeta de memoria contra escritura o hacer una imagen del HD del mismo, no encontraremos con estos ficheros y estos contenidos.

Después de tener en cuenta estas recomendaciones, la información se extrae de los siguientes archivos:

*.cfg: Datos sobre las ultima localizaciones y viajes programados.
CurrentLocation.dat: Última posición antes de apagarlo.
ttgo.bif o ttnavigator.bif: Información general del dispositivo, número de modelo, número de serie, contraseña de usuario.
Settings.dat: Conexiones Bluetooth: nombre, identificador MAC y lista de dispositivos conectados con su correspondiente identificador MAC. Información introducida por el usuario como: nombre, número de teléfono, dirección…
Called.txt: Llamadas realizadas, en el caso de que se trate de un teléfono móvil GPS. Hechas a través de la aplicación TomTom.
Callers.txt: Llamadas recibidas, en el caso de que se trate de un teléfono móvil GPS. Recibidas a través de la aplicación TomTom.
Contacts.txt: Información acerca de los contactos.
Inbox.txt: Mensajes de texto que ha recibido a través de la aplicación TomTom.
Outbox.txt: Mensajes de texto enviados a través de la aplicación TomTom, en el caso de que se trate de un teléfono móvil GPS.

la moraleja es que un navegador no esta diseñado para preservar tu privacidad, asi que no tiene porque estar protegida toda la informacion "sensible" que pueda contener

Operaciones con Dominios

2008-11-02T23:21:00.000-08:00

Crear, Renombrar, Reestructurar.
Cuantas veces metemos la pata y queremos solucionarlo? Pues ya podemos con estas sencillas y tecnicas Guias.

Renombrar:
Administering Active Directory Domain Rename (Windows Server 2008 TechCenter)
Windows Server 2003 Active Directory Domain Rename Tools (Windows Server 2003)

Fusionar y Migrar (Santa Migracion)
ADMT v3.1
Guía de ADMT v3.1: Migrating and Restructuring Active Directory Domains

y para el tema migrar las Passwords de usuarios, etc, etc
Password Export Server versión 3.1

System Explorer

2008-10-27T23:46:00.000-07:00

Para hoy, no hablaremos del nuevo juguete de microsoft, para cloud computing (ya estan hablando de el todos los demas Blogs), pero trasteando, he encontrado uno de esos programitas de lo mas util que te puedes encontrar para la administracion y para ver que es lo que esta pasando o que hace ese maldito "proceso" que no deberia de "estar" en ese servidor.

Lo tenemos en version "Portable" o full Instalacion, la portable es la mas util y "chula" al Pendrive y venga a correr.

Y que nos ofrece? pues acceso a los ficheros que usa el sistema, comunicaciones, drivers, carga de procesos, puertos abiertos, drivers, librerias, etc, etc, en el fondo nada nuevo, pero "todo en uno".

asi que a disfrutar.

System Explorer

FaceBook, MySpace,RRHH y Privacidad

2008-10-23T06:01:00.001-07:00

Nos podemos preguntar que tienen en comun o que relaciona todas estas disciplinas, pues la verdad es que yo tambien me lo preguntaba. Me lo preguntaba hasta el otro dia, en el cual aprovechado que estaba en la “ciudad” acudí a una entrevista de trabajo; no estaba especialmente interesado en el puesto, pero nuca se sabe que puede saltar delante, además tenia curiosidad por ver de que pinta tenia ese proyecto en particular ya que había oído comentarios al respecto.

Perooo! El tema que trataremos no es tecnico, sino lo “lista” que pueden ser los de RRHH (mis disculpas a la gente de RRHH, que tienen muy buenos profesionales, aunque este no es caso). En fin al tema, el dia X a la hora X quedamos, muy chula la oficina, el despacho muy bonito (con vistas, que lujo), no me hicieron esperar, me ofrecieron un café (que majos!) y asi después de un rato de hablar de conocimientos tecnicos, experiencia profesional y del proyecto (que muy chulo , que muy bonito, que mucha pasta, etc), la conversación llega a un punto critico, “aunque tu perfil sea bueno y tengas experiencia de campo en empresas muy intersantes, veras! He buscado por Internet tu perfil usando los datos de tu currículo y… (en esos momentos, un escalofrio recorrio mi espalda, mierda, que se me paso, algun metadato despistado en el currículo y han aparecido nombre o referencias que no debían, mierda, mierda, se me colo el alias, o el nombre del grupo de HackAMigos, o en el correo una dirección de copia al grupo de Hack-tivismo!, Osea que la hemos liado).

Pero cual seria mi sorpresa, cuando la conversación continua “ Pues eso que te he buscado en m

MySpace y Facebook y no “apareces” y para este proyecto queremos gente que tenga presencia en la red, también te hemos buscado en google y no existen muchas referencias sobre ti o sobre lo que has hecho”.

Bueno!, bueno! que susto, pues no, no se me habia colado ningun dato en el correo o en el doc. Del currículo, ni el ningun de los .pdf adjuntos, asi que nada, pues lo siento majo, si no te sirvo, no sirvo que le vamos ha hacer, no soy lo bastante FaceBook para vosotros, siento no ser guai!. Pero como que si buscas otro alias y otras cositas de mi grupo de “amiguitos” y de las otras direcciones de correo que tengo, como que seguro que tampoco “valgo” para el proyecto, por muchas referecias que tenga en Google, ni los documentos y proyectos publicados que circula por la red con mi alias.

Moraleja.

La información puede ser buena, mala y pesima, en Internet se suele encontrar toda la información que quieras, pero el saber que preguntar es otra cosa y el tener otra “personalidad” es bastante comun. El que este de moda facebook, myspace y otras cosas no significa que sean herramientas infalibles para los de rrhh y para asegurarte tu privacidad en la red, basta con ser quien no se es o quien no se quiere ser.

En fin otra vez sera, en Internet quien quiera ser invisible lo es.

Politicas, Politicas, veo Politicas de Seguridad

2008-10-21T22:44:00.000-07:00

Parece que el tema esta de moda y no nos referimos a politicas economicas, sino a politicas de seguridad (Aun recuerdo la resaca del fin de semana y el ardor de estomago de la pizza).

Asi que empecemos.
desde dmoz.org temos 50 "politicas" standart de seguridad para aplicar en distintos entornos.
en infosecwriters.com un PDF de esos que nos gustan tanto sobre Politicas de seguridad a aplicar sobre pequeños negocios.
y para terminar y que todo no sea trabajo el juegecito de HP para aprender seguridad.
game.mea-i.org/ y ale, ale a disfrutar.

por fin es miercoles!!! ole, ole ya queda menos!

Listado de Politicas de Seguridad de 2008 y Vista

2008-10-18T11:09:00.001-07:00

Estamos de repaso, este finde toca currar generando un grupo de politicas de seguridad para una conocida "Corp" Madrileña (tranqui Paco, que no voy ha decir el nombre). Asi que con el plan de seguridad en una mano, la plantilla de politicas es la otra, el checklist listo y cargado sobre la mesa ,el lapiz afilado (no con boli, que no se borra!) y la oferta de Pizza Hut de la semana, pues eso a currar. Me he puesto hasta las 1:30 am de plazo para abrir la botella de ron liberacion y liberar tension.

Plantillas rapidas de politicas AQUIIII!

Pd.
Manda "gues" en cuenta de estar cenando en mi japones preferido, aqui me encuentro encerrado con mi amigo el "Hut" el Pizza Hut.
VMWare te adoro a ti y a tus maquinas virtuales, temblan politicas, temblad

Google admite que Android puede eleminar aplicaciones remotamente

2008-10-17T00:40:00.000-07:00

El enemigo esta dentro, Google admite que podra eleminar aplicaciones sobre android remotamente. La diferencia, radica en que Google no ha tratado de ocultar el hecho, sino que lo admite abiertamente.

Aunque la cruda realidad es que se trata de una caracteristica privativa sobre una supuesta plataforma de desarrollo abierta. Sobre la cual se ha reservado el boton del jucio final.

Asi es el mundo, y asi son los negocios.

Politicas de restriccion de software

2008-10-16T08:01:00.000-07:00

El tema de hoy sera el malvado usuario que nos instala una y otra vez todas esas aplicaciones que no deberia instalar en nuestro querido ordenador corporativo, y como se hace esto o como se hace el los demas no hagan esto, o como se hace que esto se haga para que los demas no puedan hacer lo que quiera que hacen que hagan en nuestros puestos de trabajo.

Pues esto se hace asi y con esto.

Un video de formacion, seguido de unas de esas guias tan chulas que nos gustan tanto y finalizando con un "How To".
Todo un menu de lujo para los sivarias de la seguridad corporativa. Bon Apetit

200 Bugs en Devian Lenny

2008-10-15T00:22:00.000-07:00

Mas de 200 Bugs de caracter critico han sido detectados en la nueva version de nuestra "manchita de Vino", asi que han decidido retrasar el lanzamiento (y yo que creia que era imposible escribir una linea errónea en un kernel de linux, algo relacionado con el cielo abriéndose y un torrente de rayos y centellas purificadoras, fulminado al pobre hereje programador).

Parece que para el mundo de linux, tambien empiezan a servir las mismas reglas para el desarrollo del software que para el resto de los mortales.

Aunque desde que se empiezan a aplicar tecnicas de analisis de codigo automaticas, parece que linux no es tan linux (la tecnica esta copiada de micro e IBM).

EU scientists launch new, 'unbreakable' encryption system

2008-10-08T23:27:00.000-07:00

Leemos en eubusiness.com que cientificos europeos prueban el primer sistema de encriptacion "irrompible" basado en encriptacion Quantica (la noticia del generador de Fluzo es para la proxima semana).
bueno, solo una nota y un comentario, un viejo ZX espectrum (sniff! nostalgia) no podria romper la codificacion de Ares, o un SHA, etc, etc. Ahora con las nuevas tecnologias de computacion distribuida (corba), cloud computing etc, el tema de las GPU`s etc, etc. Veremos cuanto se tarda en romper.
Ademas lo que se hace por software se deshace por software, una maxima universal (el que sea mas o menos dificil es solo cuestion de tiempo, potencia de calculo e ingenio).
La historia nos da ejemplos y siempre queremos olvidarnos de ellos, para muestra un boton, la maquina enigma alemana, decodificada por los britanicos durante la 2º guerra mundial con ayuda de Alan turing en el mitico Bletchley Park y basado en el trabajo de dos matematicos polacos que salieron por los pelos de polonia antes de la invasion y con su trabajo de descodificacion anotado en una simpe libreta de papel que llevaban dentro del bolsillo de su gabardina.

Guias,Guias Veo Guias en sueños

2008-10-08T23:10:00.000-07:00

Ahora no tendras excusa para hacer bien tu trabajo, cuando se trate de instalar y configurar correctamente los malvados productos del satan de la informatica planetaria (ejem, Microsoft, recordemos que IBM, Apple y Sun son ONG de las hermanitas de la caridad).
aqui estan un recopilario de guias de Plnanificacion, instalacion , configuracion y fortificacion.

Guias aqui

Microsoft Application Virtualization 4.5
Windows Server 2008 File Services
Windows Server 2008 Print Services
Infrastructure Planning and Design Series Introduction
Internet Information Services 7.0
Selecting the Right NAP Architecture
Selecting the Right Virtualization Technology
System Center Operations Manager 2007
System Center Virtual Machine Manager 2008
Windows Deployment Services
Windows Server 2008 Active Directory Domain Services
Windows Server 2008 Terminal Services
Windows Server Virtualization (for Windows Server 2008 Hyper-V and Virtual Server 2005 R2 SP1)

Aunque creo que algunas ya estan mas que publicadas y leidas (espero!)

Cuestiona tu trabajo! y el del Inutil de tu jefe!

2008-10-02T22:41:00.000-07:00

¿Por qué estamos haciendo esto?

¿Qué problema estamos resolviendo?

¿Esto es realmente útil?

¿Estamos añadiendo valor?

¿Cambiará esto el comportamiento?

¿Hay una forma más sencilla?

¿Cúal es el coste de oportunidad?

¿Merece realmente la pena?

Test Optimizacion de Infraestructura

2008-09-25T23:00:00.001-07:00

Un pequeño juego de preguntas y respuestas sobre tus infraestucturas para sabe que tal andamos de nivel y compatibilidad en tu CPD-Mazmorra-Hogar.

By Micro,
Optimizacion Infraestructuras

Pd.
Es divertido! Tienes que estar registrado

Security and Acceleration (ISA) Server Best Practices Analyzer (BPA) Tool

2008-09-25T22:49:00.000-07:00

Aprovechando la ultima instalacion realizada de un ISA, y las controversias surgidas en la misma, respecto al redimiento de la misma (basicamente, el tema de siempre, un taliban linuxero, aportando comentarios chorras sobre la capacidad del ISA y que todo lo del pinguino es chachi y gratis, aunque el pobre lo unico que hacia era repetir los esterotipos que habia leido en algun foro).
Pues aqui tenemos las guias de rendimiento y configuracion, para poder hacer y decir eso de "Zasss, en toda la BOCA".

ISA Server Best Practices

PD.
No me caen, mal los linuxeros, pero siempre que encuentras alguien que no tiene ni idea de lo que habla y encima te da la lata mientras trabajas, me pone de mal humor.

Ni un solo hogar sin un CRAY CX1

2008-09-17T22:51:00.000-07:00

!Ciudadanos, puedo prometer y prometo que no habra en esta hispania nuestra ni un solo hogar sin su super ordenador CRAY CX1!

Tanto Cuda, multiples cores, tanto final de las GPUs, y al final lo que se impone (je,je) es tener tu super ordenador CRAY en el salon para ver peliculas, darle al P2P y controlar la domotica de la casa, levantar las persianas, encender tus bobillas de bajo consumo con IPV6 integrado, la chimenea del salon por degradado de encimas, hacer la colada en la lavadora de oxigeno, la crio-extasis del refrigerador, controlar los drones de limpieza, los escudos de energia, el reactor de fusion fria del garaje, las defensas laser de perimetro de seguridad, el campo de minas, el invernadero de las orquideas, el huerto hurbano de hortalizas, el invernadero de la mariguan..., ejem.

Mas informacion aqui y aqui

! se me olvidaba, esta disponible con sistemas operativos, Windows HPC Server y Red Hat

Que Quieres ser de Mayor

2008-09-11T22:50:00.000-07:00

Curiosa estadistica desde kirainet la cual nos cuenta que quieren ser los japoneses de mayores. Recordemos que Japon es una de las sociedades mas tecnificadas del mundo, donde los culebrones se ven por el movil o la alta definicion en TV HD es algo del pasado.

1. Famosete / Actor / Actriz
2. Vocalista
3. Músico
4. Ingeniero de sistemas
5. Manager de artistas
6. Ingeniero de sonido
7. Ingeniero Web
8. DJ
9. Productor de eventos
10. Artista de peinados y maquillaje

Decididamente, estoy por dejar la informatica!

Top Lenguajes de Programacion

2008-09-11T22:32:00.000-07:00

Y tu? en que programas!

Position Sep 2008	Position Sep 2007	Programming Language	Ratings Sep 2008	Delta Sep 2007	Status
1	1	Java	20.715%	-0.99%	A
2	2	C	15.379%	+0.47%	A
3	5	C++	10.716%	+0.78%	A
4	3	(Visual) Basic	10.490%	-0.26%	A
5	4	PHP	9.243%	-0.96%	A
6	8	Python	5.012%	+1.99%	A
7	6	Perl	4.841%	-0.58%	A
8	7	C#	4.334%	+0.75%	A
9	9	JavaScript	3.130%	+0.41%	A
10	14	Delphi	3.055%	+1.83%	A
11	10	Ruby	2.762%	+0.70%	A
12	13	D	1.265%	-0.11%	A
13	11	PL/SQL	0.700%	-1.16%	A–
14	12	SAS	0.640%	-0.76%	B
15	23	ActionScript	0.472%	+0.07%	B
16	16	Lisp/Scheme	0.419%	-0.21%	B
17	18	Lua	0.415%	-0.16%	B
18	22	Pascal	0.400%	-0.03%	B
19	-	PowerShell	0.384%	0.00%	B
20	17	COBOL	0.360%	-0.27%	B

y el resto!

Position	Programming Language	Ratings
21	Logo	0.357%
22	Ada	0.349%
23	Fortran	0.303%
24	ABAP	0.280%
25	MATLAB	0.255%
26	RPG (OS/400)	0.247%
27	FoxPro/xBase	0.217%
28	Prolog	0.210%
29	Transact-SQL	0.204%
30	Awk	0.194%
31	LabVIEW	0.170%
32	PL/I	0.167%
33	DC	0.165%
34	Euphoria	0.148%
35	Haskell	0.124%
36	Smalltalk	0.123%
37	Tcl/Tk	0.122%
38	REXX	0.116%
39	Groovy	0.115%
40	Bourne shell	0.113%
41	ML	0.112%
42	Forth	0.107%
43	Objective-C	0.105%
44	Erlang	0.105%
45	CL (OS/400)	0.096%
46	Alice	0.092%
47	Scala	0.090%
48	Natural	0.080%
49	Caml	0.076%
50	APL	0.072%

Listado de Leyes sobre Privacidad por Paises

2008-09-09T22:26:00.000-07:00

International Privacy Laws, por si tienes alguna duda sobre que legislacion se aplica o que pais tiene la legislacion mas avanzada o restrictiva. Ahora que se habla de revisar contenidos de portatiles y dispositivos electronicos en los aeropuertos, en busca de material pirata (MP3) y de paso invadir tu privacidad!

En fin! un listado para eruditos del estudio legal. Pero esta bien tenerlo. :)

Privacy Laws

Feliz lectura.

Guias de Power USer´s para Crome y Firefox

2008-09-08T22:42:00.001-07:00

Ahora ya no tienes excusas para configurar tus navegadores con todos los colorines que quieras y para desarrollar las aplicaciones mas molonas.

CROME POWER USER

FIREFOX POWER USER

PD.

Feliz power! by LifeHAcker

Guia Seguridad de la Informacion

2008-09-08T22:34:00.000-07:00

Desde la EINSA nos llega este nuevo formato de la guia, con casos de estudio y una nueva serie de plantillas, bonitas, bonitas para jugar.

Guia

Pd.

Es un rollo, como era la anterior. Pero algo tenemos que leer!

Superamos las 10.000 visitas

2008-09-05T04:22:00.000-07:00

Hemos superado, las 10.000 visitas, gracias a todos los que nos leen o nos han leido.

Pd.

Personalmente, creo que pasar de las 10.000 visitas con un blog sobre este tema y que trata ladrillos tecnicos tales, como la normativa ISO y manuales de configuracion y buenas practicas es todo un reto.

“Eugene Kaspersky propone exigir un pasaporte para acceder a Internet

2008-09-04T09:15:00.000-07:00

El presidente de la compañía de antivirus cambiaría su privacidad a cambio de no tener tantos virus y correo basura - Siete de los diez mayores 'spammers' son ucranianos o rusos”

Ya son muchas las voces que se empiezan ha escuchar y hacer publicas sobre el tema de la seguridad en la red. Esta idea no es nueva y aquí en esta democracia IBERICA nuestra, algún Insigne personaje, también se ha apuntado al tema hace tiempo y además lo deja caer por algún que otro acto oficial y por algún que otro ministerio. La curiosa coincidencia radica en que estas ideas, provienen de otra empresa de seguridad, esta vez española, y con contactos y contratos en distintos ministerios. La conclusión final, es que la libertad es peligrosa, y que el terror y el miedo siempre venden! y mucho!, sobre todo si te dedicas a vender seguridad. Las cifras sobre virus y sobre la efectividad de los antivirus son aterradoras, las empresas no dan a vasto, tanto en amenazas como en beneficios. Todo el mundo es capaz de programar un virus, el cual no esta catalogado y es eficaz hasta el momento en que sea identificado, y son muchos miles, los fragmentos de codigo malicioso que se encuentran por la red, pero la carrera por no quedarse atrás les esta costado mucho dinero, y eso es algo que no les gusta, no les gusta el gastar su dinero. Asi que se llega a la conclusión logica, si tenemos a menos usuarios y los tenemos fichados, pues ya esta, nos será mas fácil controlarlos, tendremos menos virus y no tendremos que gastar tanto dinero.

La conclusión final es que es lamentable! Lo que se escucha y a la gente que se le hace caso.

Si se necesita un pasaporte, porque no fichamos a los lectores de periódicos de izquierdas, a los lectores de pornografia, a las revistas del corazon, a los usuarios de teléfonos moviles, camaras digitales y la mejor solucion, fichemos a los alumnos de los colegios y las universidades y a todo usuario de una biblioteca publica o que compre, posea o lea, un libro o un manual tecnico o politico, por que son peligrosos, en todos esos lugares y situaciones, con esos conocimientos, se puede ser potencialmente peligroso para la sociedad. Para la sociedad de los mansos y los explotados, de los ignorantes y los necios, en fin, para la sociedad que unos pocos quieren, no para ellos y sus hijos, sino para sus semejantes para asi poder manipular y dominar, a través del control del conocimiento, de la cultura y de la tecnología a sus semejantes para que puedan ser explotados en su beneficio.

La Primera en la Frente! Crome Bombing Folder

2008-09-03T23:05:00.000-07:00

Pues a los chicos de Google les a durado poco su Crome, a 24 horas de su lanzamiento ya tenemos una vulnerabilidad, que cosas.

En fin que se le va ha hacer, el mundo es muy grande e internet mas.

Crome Vulnerable Carpet Bombing

Eso, eso, eso es todo Amigos! Goink, goink

Google Crome Beta Release

2008-09-02T22:37:00.000-07:00

Pues ya esta aqui, el Google Crome. Es rapido es Malo y tiene pinta de estar aqui para quedarse y para quedarse durante mucho tiempo.
La primera impresion es que es muy rapido en las descargas y la presentacion, cosa de los multi-Threads, la memoria que ocupa es minima, el peso de instacion es ridiculo, falta por revisar el tema de la privacidad, la seguridad y algunas cosillas mas pero es solo es una Beta, asi que algo nos reportara.
Si google es capaz de hacer un navegador tan rapido y ligero, mi pregunta es! que diablos estamos instalando con IE y con Firefox?

Pero para ser creyente, se tiene que ser convertido, asi que conviertete!

Aqui! Ahora Google Crome.

feliz navegacion

Internal Threat Encyclopedia

2008-08-28T22:45:00.000-07:00

Cuantas veces, scaneando los procesos de algun Pc de nuestros queridos usuarios, nos encontramos con extraños procesos y aplicaciones que no conocemos o que no sabemos que hacen o lo que son? o extrañas alertas de acceso o trafico irregular hacia nuestras gateways de internet? pues la respuesta es, muchas, muchas!.
Asi que, aqui tenemos una pequeña enciclopedia de amenazas "internas" (aunque echamos en falta, la inclusion del nombre de algunos de nuestros usuarios mas activos y entrañables).

todo esto gracias a PROMISEC y su Internal Threat Encyclopedia

Feliz lectura!, esto no, feliz caza de amenazas! :)
Temblad usuarios Temblad!

Windows Vista, TWeakGuies

2008-08-26T22:48:00.000-07:00

Despues de la lectura tecnica anterior, pasemos a una mas practica sobre el tema de rendimiento y personalizacion de Windows Vista, "Windows que Vista!"

por cortesia de TWeakGuies.

Feliz, Lectura

Guia de Optimizacion de Windows Vista

2008-08-01T05:08:00.000-07:00

Pequeño, rapido y util.

Guia Optimizacion Windows Vista

el haiku del post!

Guía para el Diseño e Implantación de Arquitecturas Tecnológicas y Políticas de Seguridad Informática

2008-08-01T04:51:00.001-07:00

Desde venezuela (chaves, chaves), no llegan dos documentos interesantes.

-Guía para el Diseño e Implantación de Arquitecturas Tecnológicas de Seguridad Informática en el Sector de la Administración Pública

- Políticas de Seguridad Informática

Una lectura interesante.

Sans Institute

2008-08-01T04:43:00.000-07:00

Dos herramientas de seguridad para "jugar" gratuitas y utiles.

-The Secunia PSI
Para jugar con software

-Safety scanner
Para jugar con el resto

Para entretenerse un rato.

y el articulo correspondiente de Sans

-Sans Institute

Feliz lectura

The Mojave Experiment

2008-08-01T04:28:00.000-07:00

O como se critica lo que se desconoce.
Una de las maximas de la industria, es que no tienes que tener un buen producto, solo tienes que hacer lo popular, o impopular, segun se mire.
Si eres un "MacKero" seras guai, cool, molaras y te gastaste una pasta en una maquina chuli, magica y mistica, que solo usan profesionales de lo mas chupi-lerendi.
Si eres un "Linuxero" eres el pistolero de la consola de comandos y tienes un gato llamado Cron.
O esa esa era la situacion hace 10 años, en los cuales muchas cosas han cambiado.
una de esas cosas es que Mac, no es lo que era y ya hace tiempo que vive de glorias pasadas, ejemplos gloriosos tales como IPhone, Ibook, etc, los cuales no son tan buenos productos como se trata de hacer creer, tanto a nivel de prestaciones, como de seguridad. Pero como es Mac y es
Guuuai, esas cosas se perdonan.
Despues pasan cosas como "the mojave experiment" y un monton de gente mete la pata.
pero que es "the mojave experiment"
Pues para el que le interese

the mojave experiment

feliz lectura.
PD.
Algunos comentarios de usuarios de linux y de mac, no tienen desperdicio.

Tres Imprescindibles, para los Administradores

2008-07-30T00:09:00.001-07:00

Que tres publicaciones serian imprendisdibles leer mes a mes para estar "informado" y al dia de lo que ocurre a nivel tecnico dentro de tu red y de todas las novedades y evoluciones del mercado.
Pues aqui las tienes.

-1ª TechNet Magazine
-2ª MSDN Magazine
-3ª The Architecture Journal.

y con estas tres publicaciones de que es de lo que tenenteras?
Pues de cositas como estas.
Windows Server 2008 Failover Clustering, IIS 7.0., mantenimiento eficaz de bases de datos en SQL Server 2005, cómo tomarle el pulso a un servidor, preguntas y respuestas sobre SQL, desarrollo de aplicaciones sólidas y escalables con SQL Server Data Services, necesidad de un conjunto de conocimientos de arquitectura (inglés), Microsoft Certified Architect, etc, etc

ya estas tardando en leerte todo esto!

Lifehacker Editors' Favorite Software and Hardware

2008-07-27T23:50:00.000-07:00

Como es veranito, y tenemos mucho tiempo, aqui tenemos un enlace "chulo" para que nos entretengamos "cacharreando" desde el chiringito de la playa con nuestra conexion wifi.
Gracias a los chicos de LIFEHACKES, un compendium de jugetitos malos para, entretenernos entre cañita y cañita, tapita y tapita.

LifeHacker, Favorite Software and Hardware

Felices, tapitas! yo te doy cremita, tu me das cremita, y estamos todos en la playita, Ye, ye, Haaa!

Newsletter de Seguridad

2008-07-17T08:36:00.000-07:00

Para los, altos, para los bajos, para los feos, para los guapos, para los hackers, para los admins, para los de windows, ¿para los de Linux? NO para los de linux no! Sorry

Newsletter de Seguridad By Microsoft, para estar al tanto de todas las cosas malas y no tan malas que ocurren en el mundo de la Seguridad IT.

-Newsletter de Seguridad Microsoft

Pd..
Y las puedes leer estando de vacaciones, eso si! si te registras.

TechNet Magazine OnLine

2008-07-16T23:39:00.000-07:00

Continuando con nuestra tranquilidad estival, aprovechemos para leer un rato.

SQL Server: Top Tips for Effective Database Maintenance
Windows Administration: Taking Your Server’s Pulse
System Center: Windows PowerShell in System Center Operations Manager
Internet Information Services: Scaling ASP.NET Applications: Lessons Learned

Asi nos entretendremos un poco en estos aburridos dias de oficina estivales

DataMining

2008-07-05T00:12:00.000-07:00

Que es esto? De que trata? Como Funciona? Sera Util para mi empresa?.
Todos hemos oido hablar del tema de DataMining pero pocos hemos "cacharreado" con el tema. (aparte de leerse a mano los log de los servers).
Pues aqui unas guias y un poco de informacion.

(In Englishss, of course)

Introduction to Data Mining.

Working with Data Mining

Using Data Mining in your IT Systems (Part 1)

Using Data Mining in your IT Systems (Part 2)

"Libreria de Maquinas Virtuales"

2008-07-02T00:24:00.000-07:00

Pues eso, la libreria de Microsoft para nuestras "Virtual Machines". Asi que no tenemos excusas para poner a funcionar nuestros R5 y VHDS o Hiper-V.
Aqui tenemos todo lo que necesitamos, para probar, evaluar, experimentar ycacharrear, con todos esos extraños y fascinantes servidores y aplicaciones de una manera sencilla, limpia y eficaz, descargar, montar y cacharrear.

Descargas Aqui

VHDs by Product

SQL Injection Tools

2008-06-24T23:46:00.000-07:00

Pues, no, no es lo que parece, no son herramientas para ser un "maloso" son herramientas de Micro para la verificacion de la seguridad de nuestras aplicaciones web. y estas son.

Detection – HP Scrawlr (a free scanner from HP)
Defense – UrlScan version 3.0 Beta
Identifying – Microsoft Source Code Analyzer for SQL Injection

Feliz "Cacharreo y experimentacion"

TechNet Magazine, edición de junio 2008,

2008-06-16T23:56:00.000-07:00

La edicion de Junio, un lectura interesante!

TechNet junio

PD.
Tambien estan los demas numeros publicados hasta ahora.

Sysinternals, liberado

2008-06-12T23:47:00.000-07:00

Si eres o aspiras a ser! Un Administrador de Pro, tanto de maquinas “reales” como “Virtuales” necesitas conocer y utilizar unas antiguas conocidas de los "Admins" “Sysinternals” las cuales el imperio del mal a liberado para su utilización por todos los pequeños trols que trabajan bajo su maligno mandato. (Aunque estas ya se utilizaban por los administradores de pro hace mucho, mucho tiempo).
Asi que a descargar a descargar.

Sysinternals
Info

Administrad, Administrad malditos!

Nota malosa.
Publicada un Parche para devian que soluciona algunos de esos problemas de seguridad que linux no tiene y que permitia una escalada de privilegios en el kernel.

Seguridad Fisica, White Papers

2008-05-28T23:48:00.000-07:00

Despues del pequeño lio de Debian y de leer unos 400 topicos por internet sobre que Linux, no tiene virus y es la inmaculada concepcion en codigo y seguridad y que esto es una conspiracion de Microsoft, etc. Hablaremos un poco de la seguridad Fisica en las Infraestructuras y Sistemas, lo cual no significa que cerrando la sala de servidores con un candado y poniendo un agente de seguridad las 24 horas del dia, delante, no se llega al concepto de Seguridad Fisica.
Asi que, aqui tenemos un pequeño White Paper que tanto nos gusta sobre el tema y todas las opciones que debemos de tener en cuenta para la creacion de nuestros planes de seguridad.

Seguridad Fisica White Papers

Feliz Lectura

Un fallo en una distribución de Linux pone en peligro millones de máquinas en Internet

2008-05-28T23:36:00.000-07:00

El normalmente cauto SANS Internet Storm Center ha calificado el incidente de "muy, muy, muy serio y escalofriante" - Un programador borró una línea de código que genera las claves de cifrado

"El impacto es enorme", afirma Jordi Mallach, del equipo de desarrolladores de Debian. A las pocas horas de conocerse el agujero, como lo llaman, ya corrían programas maliciosos en Internet para explotarlo. Según Mallach no sería extraño que apareciese un gusano que automatizase este ataque: "Habrá servidores que, a buen seguro, acabarán siendo controlados por alguna botnet".

ARTICULO COMPLETO
fuente original, el pais.es

Esta es la demostracion de que todo el mundo comete errores, no solo Microsoft, Sun o Ibm, ahora le ha tocado el turno a debian y en una de sus partes criticas, tal como el afamado OPEN-SSL
bien ahora toda ver como se actualizan y parchean varios miles de servidores dedicados al comercio electronico y la capacidad de respuesta de la "comunidad"

"Entodas partes de cuecen fabes y en mi casa calderades"

Guia NIST SP 800-123

2008-05-25T23:24:00.000-07:00

Más conocida como Guia General y Recomendaciones sobre Seguridad para Servidores.

En ella encontraremos las recomendaciones sobre seguridad sobre esas cosillas tales como, gestión de software y hardware, aplicar políticas de seguridad y se aplicación de parches, monitorización de recursos, realización de Tes. de seguridad, análisis de logs, etc, etc.

NIST SP 800-123

Feliz lectura.

Windows Server 2008 technical white paper

2008-05-24T07:38:00.000-07:00

Pues eso mismo, los documentos del "Todo lo que, quisiste saber de 2008 y no te atreviste a preguntar" todo esto en ingles y desde nuestros amigos de Micro.

Windows Server 2008 technical white paper

teneis que buscar un poco, pero los enlaces relacionados, son muy interesantes

Feliz Lectura.

Rankin de Vulnerabilidades en SO

2008-05-18T01:21:00.000-07:00

Pues lo dicho, esta es la ultima estadistica sobre el tema de la seguridad y parches en los S.O. de escritorio.

PD.
Es curioso, no estoy escuchando a los cientos de linuxeros gritar que Mac es el demonio o que es el SO mas inseguro del mundo, supongo que estaran ocupados con su pequena vulnerabilidad criptografica y buscando desesperadamente como parchearla en sus multiples y cientos de distros.

MSDN Magazine - Gratuita

2008-05-11T00:42:00.000-07:00

Un pequeño link para mantenernos actualizados sobre el mundo MSN (gratuito) y además añadimos un link a un interesante articulo sobre “Seguridad por Oscuridad” .Que, que es eso?, bueno es un buen momento para leer un poco, durante una mañana tranquila y si ademas es gratuito, mucho mejor.

MSDN Magazine

Seguridad por Oscuridad

Disponible en castellano, si se rebusca un poco

Feliz lectura

Guia de Eventos de seguridad en Vista y 2008 Server

2008-04-21T23:45:00.000-07:00

Una “pequeña Guia” sobre los eventos de seguridad que se generan en Vista y 2008 Server, lo cual nos es mas que util, para comprender que es lo que esta pasando en nuestros sistemas.

Version Ingles

Version Castellano (traducción Automatica)

Feliz Lectura

Seguridad y Guias para Active Directory, 2003 Server, 2008 Server

2008-04-19T23:52:00.000-07:00

Una pequeña recopilación de los mejores documentos y guías para enfrentarse al despliegue y administración de nuestro Active Directory.

Best Practice Guide for Securing Windows Server Active Directory Installations

Best Practice Guide for Securing Active Directory Installations and Day-to-Day Operations: Part 1

Best Practice Guide for Securing Active Directory Installations and Day-to-Day Operations: Part 2

Windows Server 2003 Deployment Kit: Designing and Deploying Directory and Security Services

Windows Server 2003 Security Guide

Windows Server 2008 Security Guide

Achieving Autonomy and Isolation with

Feliz Lectura

Sun, MySql el comienzo del fin

2008-04-17T23:46:00.000-07:00

Nos encontramos ante la crónica de una muerte anunciada, el posicionamiento de los grandes poderes por el dominio mundial, continua.

Mientras que la comunidad de software libre, se encuentra enfrentada en su cruzada contra Microsoft, las otras grandes compañías, aplican estrategias tan o mas monopolísticas que el propio micro y asi no encontramos con la noticia que supondrá el comienzo del fin de MySQL.

Sun ha anunciado que desarrollara nuevas características para Mysql, de código cerrado. Marten Mickos, CEO de Sun Microsystems, anuncio durante la conferencia de MySQL en Santa Clara, las nuevas características de copia de seguridad, las cuales serán cerradas y solo estarán a disposición de la versión Enterprise de pago.

Asi que tendremos que pensar en ir recordado a PostgreeSQL, los clasicos nunca mueren

Client Network Traffic with Exchange Server 2003

2008-04-10T23:58:00.000-07:00

Como el otro dia, me pase un buen rato en una discusión amigable y practica sobre el tema, al final (funciono como tenia que funcionar), aunque tener que demostrar que las cosas se hacen de una manera con la practica y luego enseñar una tonelada de documentación para validarlo todavía mas ,es algo que no me agrada en absoluto.

Asi que aquí tenemos un pequeño WhitePaper sobre el tema que nos explica estas cosillas bastante bien.

WhitePapers

Sumario.

Log on and log off
Directory access
Generic mail item tests
Calendar, contacts, and tasks item tests
Public folders
Define user profiles and WAN bandwidth
Bandwidth based on sample user profiles

feliz lectura.

BitLocker Drive Encryption FAQ

2008-04-04T23:53:00.000-07:00

Un poco de multimedia Web 2.0, asi que, aqui tenemos el screencast de BitLocker para windows server 2008 y lo rematamos con un poco de documentacion FAQ de BitLocker.

Screencast

FAQ

(Temblad malditos, voumenes de datos encriptados, haber donde guardais las claves de encriptacion)

Open Solaris, Guia del Estudiante.

2008-04-01T00:12:00.000-07:00

Porque en este mundo no todo es Microsoft o Linux, aquí tenemos una pequeña guia en castellano para los que quieran introducirse en el mundo de Solaris el cual pertenece a otra compañía igual de “malosa” que “Micro”.

Asi que aquí tenemos un montón de documentación para comenzar a jugar con una copia “Libre?” de un sistema “propietario” y bastante exclusivo que es Solaris.

Open Solaris Guias

El mal tiene muchas caras.

Arthur C.Clark ha fallecido

2008-03-19T00:28:00.000-07:00

A la edad de 90 años a fallecido Arthur C.Clark, uno de los maestros de la ciencia ficcion y padre de las comunicaciones por satelite.
El suceso sucedio en su villa de SiriLanka.
Autor de cientos de libros y escritos sobre tecnologia, con los que hemos disfrutado y nos ha inspirado.
Descanse en paz.

Seguridad CCE, Quien es Quien

2008-03-17T00:40:00.000-07:00

Se ha publicado por EINSA la guia europea de las organización de seguridad, es esta guia “destaca” España con quince organizaciones, Con cuatro Organizaciones Naciones, cinco Organizaciones en la Industria, una Organización Academica y Organizaciones Variadas entre las que destaca el ilustre Inteco-CERT seguido de “Protegeles”.

Una representación de lo mejor de lo mejor en Seguridad IT de esta España nuestra.

Guia

Bonets, cuando el enemigo esta dentro.

2008-03-17T00:28:00.000-07:00

Un interesante articulo sobre ese gran desconocido, los bonets, su capacidad de infiltración, capacidades y utilización por el crimen organizado.

Todo realizado por David Barroso de S21Sec.

Bonets

LOPD y mas LOPD

2008-03-17T00:21:00.000-07:00

Una pequeña guia “Burros” para la aplicación de nuestra querida LOPD (si! Eso de lo que todo el mundo habla, pero que pocos aplican).

Asi que nos ratificamos en lo de siempre, procedimientos, normas, parametrizacion, logs, usuarios, etc.

LOPD by Firma-e

Mas MicrosSoft Security 2008 Server

2008-03-12T00:56:00.000-07:00

2008 ya esta aquí y esta para quedarse, incluyendo a nuestro amigo IIS7, pero antes de meterse en cosas mas complejas (Seguridad Web), debemos conocer y configurar bien, todo lo que es la base de nuestro servidor.

Y para eso lo haremos a través de las premisas (y Guías) básicas de configuración y seguridad.

Y aquí tenemos el orden de lectura que debemos seguir:

Executive Overview.
El sumario de la documentación que manejaremos.

Security Guide.
Las practicas y white papers recomendadas para enfrentarse a nuestros Active Directory Domain Services (AD DS), DHCP, DNS, Web, File, Print, Active Directory Certificate Services (AD CS), Network Policy and Access Services, and Terminal Services (in Inglish J).

Security Settings Recommendation Appendix.
La referencia tecnica de las guias de seguridad a aplicar (doble J).

Security Settings Workbook.
La documentacion relativa a las configuraciones de seguridad aplicadas por defecto durante la instalacion.

Attack Surface Reference Workbook.
Todos los recursos de seguridad y politicas de seguridad aplicadas, segun su rol. GPOAccelerator. Y finalmente todo lo relacionado con los roles y politicas de seguridad y su despliege y aplicación.

Descargas Aqui

Feliz lectura

Como instalar sin Instalar!

2008-03-08T23:40:00.000-08:00

Este es un pequeño truco, para “Instalar, sin Instalar?”, jeje, parece un poco tonto pero es de lo mas útil, cuando te encuentras instalando paquetes y no sabes si cumples los requerimientos, comprobar que los ficheros de instalación estén bien o simplemente para revisar cuales son los menús, rutas y opciones de configuración del producto a instalar.

Lo ejecutas desde la línea de comandos [cmd] y ejecutas el fichero de instalación MSI

MsiExec / NombreFichero.msi EXECUTEMODE=None

instalad, instalad, Malditos!

Black Hat the Hacking 2008 Series

2008-03-06T23:27:00.000-08:00

Tras la celebración de nuestro querido Black Hat de este año, ya se han publicado todas las conferencias, charlas y demás documentación. Asi que hoy echaremos un vistazo a todas esas técnicas que van ha ser utilizadas para la destrucción y asalto de nuestras “Seguras Redes”, aquí estan los enlaces de Hacking de Black Hat, para que podamos aprender algo interesante.

Ya, que aunque nosotros no conozcamos esas maravillosas tecnicas, los chicos malos si, y nos van a poner a prueba.

Feliz Lectura

Black Hat, the Hacking Series

Bailad, malditos, bailad!

Continuidad de Negocio

2008-03-05T23:17:00.001-08:00

Que es eso de la continuidad de negocio, pues el el libro rojo que tienes en el fondo de un cajon de tu escritorio que nunca has leido y el cual sera quien te saque las castañas del fuego el dia del juicio final, eso es, cuando tu CPD explote y no sepas que hacer.

Eso que suele ocurrir una vez al mes.

Continuidad de Negocio by Business Continuity Institute

Guias, Guias, Guias, Diseño de la Infraestructura y Windows 2008 seguridad.

2008-03-03T23:17:00.000-08:00

Continuamos con nuestra actualización de conocimientos, asi que partiendo de lo basico, una primera guia sobre diseño y planificación de las infraestructuras (ese sitio donde se pinchan nuestros servidores) y una vez que los hemos instalado, no esta de mas aplicar un poco de seguridad.

Planificación y diseño de Infraestructuras

Guia de seguridad windows 2008

Feliz lectura.

Biblioteca Tecnica de Windows Vista

2008-02-28T23:58:00.000-08:00

Vista es el gran desconocido, ya nos han vuelto a cambiar de sitio todos menus que estábamos acostumbrados a utilizar y los truquitos que antes nos salvaban los problemas, ahora ya no funcionan, asi que no nos queda otra opcion que ponernos a estudiar de nuevo, y ahora para todos los nuevos vistaseros, la biblioteca Tecnica de Windows Vista en castellano.

Biblioteca

Feliz, Lectura

Detectando ataques en aplicaciones Web, a través del los ficheros de Log

2008-02-14T23:58:00.000-08:00

Creo que el titulo lo dice todo. Ahora que ya sabemos “entender“ nuestros ficheros de logs, ahora llega el momento de detectar ataques en nuestras aplicaciones web y pruebas de seguridad en las mismas.

Todo gracias a Sun Institute.

Guia Aquí

Pd.

Esto me trae ciertos recuerdos de un grupo de incompetentes que conocí en una vida anterior, lamentablemente los cargos que ostentaban no eran precisamente de barrenderos.

Me acuerdo de vosotros inútiles (literalmente) y espero que sigáis siendo igual de incompetentes, la cola del paro se os acerca, la sopa boba se acaba.

Data Protection Manger 2007 Guias

2008-02-12T00:04:00.000-08:00

Una pequeña recopilación sobre Data Protection Manager by Micro, siguiendo los puntos de organización basica que se deben de aplicar a cualquier proyecto que desarrollemos.

Todo simple y en ingles.

Felices copias.

Como Auditar los LOG de un Servidor

2008-02-07T00:10:00.000-08:00

Para saber que ha pasado o que esta pasando en nuestros servidores, normalmente utilizamos la configuración extendida de nuestros Log, para monitorizar seguridad, rendimientos, eventos, etc, pero esto no nos asegura que sepamos interpretar la extensa información que estos recopilan y nos muestran y que gracias a esas miles de líneas, sepamos que ocurre dentro de nuestros servidores. Asi que aquí tenemos una pequeña guía para buscar comprender un poco mas que esta pasando.

aqui

IEEE 802.11 Wireless Lan Security White Paper

2008-02-01T23:52:00.000-08:00

Guia de Seguridad para redes inalambricas para microsoft server 2003. Todo lo que debes de revisar para asegurar la seguridad de red.

aqui

Virtualizando un Centro de Datos, primeros pasos. III

2008-01-31T00:46:00.000-08:00

Sistemas operativos y software de administración [Sistemas operativos y software asociado a su gestión, acceso remoto, administración remota, monitorización, etc.]

Que necesitas para virtual izar tu centro de proceso de datos.
Empezando por las cosas básicas.

[Sistemas Operativos]

Sistema operativo de base. Referido a sistema operativo básico que correrá el software de virtualizacion, según sea nuestra elección podrá ser Linux, Windows, Sun, IBM, etc.
Sistema operativo Virtualizado, el cual será “independiente” del sistema operativo base instalado, esto es, que se puede virtualizar un Linux sobre Windows, inversa pero tendremos alguna excepción en cuanto a los productos de IBM y SUN. (Deberemos remitirnos a la documentación del fabricante).

[Software de Virtualizacion]

Software que utilizaremos para virtualizar, tales como microsft R5, Xen, VMware, AIX, etc.
Para la elección de este software tendremos en cuenta, parámetros como la seguridad, soporte y compatibilidad con los distintos tipos de sistemas de hardware (compatibilidad de hardware) y hardware de almacenamiento a utilizar (mas compatibilidad), Raid de discos, Nas, tarjetas de comunicaciones (red giga y fibra, etc) ya que la virtualizacion conlleva ingentes cantidades de espacio de almacenamiento tanto para los propios sistemas virtualizados como para las distintas aplicaciones que correrán sobre ellos. (servidores de correo, ficheros, seguridad, comunicaciones, etc.)

Virtualizando un Centro de Datos, primeros pasos. II

2008-01-30T00:42:00.000-08:00

Que necesitas para virtual izar tu centro de proceso de datos.
Empezando por las cosas básicas.

Energía y refrigeración

[Sistemas de alimentación ininterrumpida, y sistemas de control de temperatura y humedad ambiente]

Sistemas de Energía y alimentación ininterrumpida, referido a

Módulos SAI, para pequeños servidores y hardware de comunicaciones, ADSL, Swichs, etc, conectados estratégicamente para asegurar que las comunicaciones, tanto internas, conectividad LAN como externas WAN (Internet) se encuentran operativas en caso de suceso de incidente.
Módulos UPS, para el mantenimiento de Racks de servidores de servicios críticos, tales como servidores de base de datos, de seguridad, transacciones, o raid de discos, Racks de comunicaciones Routers, Firewalls, etc.
Generadores de Emergencia, Generadores diesel de emergencia para mantener la operatividad critica de todos los sistemas del Data Center, sistemas de control de temperatura (ventilación, control de humedad), sistemas de Acceso (puertas y ascensores), sistemas de bombas contra inundaciones.
nota: el sistema contraincendios se supone que dispone de capacidad de reaccion autonoma, eso es que es capaz de responder y de activarse bajo cualquier situacion que suceda.

Sistemas de Control de Temperatura y Humedad

Sistemas de control de ambiente para la gestión y control de los parámetros de operaciones del hardware instalado en el Data Centre
Control de temperatura de actividad de servidores y equipamiento electrónico.
Control del grado de humedad operacional del Data Center.
Filtros de partículas (polvo, etc) para evitar la entrada y acumulación de residuos sobre los filtros del equipamiento.
Inyectores de presión positiva para evitar la entrada de elementos externos no filtrados dentro de las instalaciones del Data Center.

Virtualizando un Centro de Datos, primeros pasos.

2008-01-29T00:16:00.000-08:00

Que necesitas para virtualizar tu centro de proceso de datos.
Empezando por las cosas básicas.

Energía y refrigeración [Sistemas de alimentación ininterrumpidos, y sistemas de control de temperatura y humedad ambiente]
Sistemas operativos y software de administración [Sistemas operativos y software asociado a su gestión, acceso remoto, administración remota, monitorización, etc.]
Servicios de Backup [Software asociado a la realización de copias de seguridad]
Servicios de recuperación ante desastres [Software asociado a la recuperación de sistemas y datos]
Servicios de seguridad [Software asociado a sistemas de seguridad de Red, antivirus, IDS, etc]
Servicios de almacenamiento [Infraestructuras asociadas a al almacenamiento físico de datos, Raid de discos, NAS etc]
Equipamiento Servidores [Servidores Físicos]
Dispositivos de Red [Swichs, comunicaciones]
Almacenamiento [Unidades de Discos]
Dispositivos de Backup [Unidades de BackUp Cintas]

Esquemáticamente eso es todo, lo que necesitas plantearte para empezar a virtualizar tu DataCenter. Esto y toda la documentación asociada relacionada con los precedimientos de seguridad de area de negocio a desarrollar.

Guia para la Gestion de Accesos a Infraestruturas.

2008-01-23T01:59:00.000-08:00

De ISACA nos llega la nueva guia de control de Acceso a nuestros equipamientos e infraestruturas. Ahora sabremos que no solo no nos vale con eso del usuario y password para gestionar la seguridad del CPD.

Guia de Acceso

Recopilacion de documentos ISACA

(Mas papeleo para el personal).

Guía para la elaboración de un marco SGSI (Sistemas de Gestion de la Seguridad de la Informacion)

2008-01-23T01:48:00.001-08:00

Una pequeña guia para SGSI publicada bajo licencia “Creative Commons” elaborada por Javier Cao y los muchachos de Firma-e.

Una lectura interesante para tratar de organizar ese caos que tenemos de documentación y procedimientos.

Guia SGSI

Feliz lectura.

(Ejem! aunque queda un poco mal que hablando de la gestion de la informacion y la seguridad en la 1º pagina de la guia, se muestren todos los datos del autor, incluido su numero personal de NIF, cosas que pasan)

Active Directory How-Tos o Directorio Activo Como-Hacerlo

2008-01-19T00:43:00.000-08:00

Estando Win Server 2008 ya en lanzamiento y preparándonos para su instalación en nuestros flamantes CPD. Quizás llega el momento de hacer una pausa y revisar que tal andamos de conocimientos de Active Directory y comprobar que tal nos llevamos con el.

Eso es, revisar todos los problemas con los que nos vamos a encontrar y todas las cosas que no nos van a funcionar a la primera.

Para eso aquí tenemos una recopilación de How-To de documentos de Active Directoy, para solucionar todos esos problemas a los que nos vamos a enfrentar.

todo gracias a los chicos de TechNet

(al final, siempre todo funciona, mas o menos)

SUN compra MySql

2008-01-17T00:08:00.000-08:00

"La caída de los dioses", aunque la representación del mal, para los seguidores del pingüino es Microsoft. Llama la atención como otras “compañías” las cuales aplican políticas más restrictivas que micro no son dilapidadas en los foros.

Y así, nos encontramos con nuestros amigos de SUN los cuales, acaban de fusilar a MySql. Será curioso observar el futuro de "My" dentro de Sun, la cual tiene algunas perlas de monopolio corporativo que dejan a micro como una colegiala.

Estaremos ante la caída de MySql y de todas las licencias asociadas.

deberemos aprovisionarmos de Lamps?

Seguridad IT: Gestión de Riesgos e Incidentes.

2008-01-16T00:01:00.000-08:00

Hoy, dos pequeñas guías de sobre Riegos y Gestión de Incidentes, una en Spanish y otra en Inglish.

La primera “Guía de administración de riesgos de Seguridad” by Micro y la segunda “Responding to IT Security Incidents” también by Micro y con el añadido de que es muy útil, desde el momento en el que te das cuenta del lió en que te has metido, cuando salta el botón de pánico y no tienes ni idea de cómo gestionar, ese agüero de seguridad que se ha producido en tu red.

Seguridad IT: Windows Easy Transfer Companion.

2008-01-10T00:40:00.000-08:00

Siempre que planeas una migración, o estas trabajando en una maqueta de HD para luego clonar los tropecientos pcs que acaban de llegar por el plan de renovación del parque de ordenadores, etc.

Pues siempre, siempre metes la pata, por que se te olvida, pasa, no te das cuenta, que te falta X aplicación, X programa.

Pero eso se va ha acabar, ya que nuestros malvados amigos de micro, no proporcionan un nuevo jugete para ayudarnos en estos temas.

Y ese es nuestro Windows Easy Transfer Companion

Así podremos planificar cualquier migración y de paso, obtener una auditoria de todos los programas instalados en nuestros viejos pcs , la cual nos servirá para incluir en nuestros planes de seguridad, descartando antiguas aplicaciones y planificando la seguridad de las nuevas a instalar.

También nos permitirá, disponer de la actualización de los documentos relativos a los listados y configuraciones de seguridad de las aplicaciones en proceso de explotación en nuestra infraestructura.

Seguridad IT:Controles ISO 27002

2007-12-21T01:47:00.000-08:00

Hoy vamos ha dar una vision general de los controles o documentos que deberíamos de tener para ese tema de las auditorias o de una aproximación al cumplimiento de la ISO27002.
Como veréis son un pequeño grupito de documentos, los cuales nos permiten organizar básicamente los contenidos de nuestra certificación. (y de paso, organizar la documentación relativa a la gestión de nuestros sistemas

Costa de 15 puntos divididos en:

Políticas, organización, gestión activos, recursos humanos, seguridad, control de acceso, comunicaciones, mantenimientos, incidentes y continuidad de negocio.

En Castellano Aqui

Seguridad IT:Wake on Lan SCCM

2007-12-17T01:23:00.000-08:00

Hoy, una cosita. De lo mas útil si se planifican las cosas como tiene que ser. Personalmente he yo lo utilizo bastante en mi trabajo y te permite ahorrarte un buen montón de paseos al CPD de turno o para gestionar de formar eficiente (mentira! Es para hacer el vago) el encendió y apagado del hardware de la red.

También es curioso como esta característica no suele estar recogida y parametrizada en los distintos procesos de operaciones de la empresa ni en los procedimientos y protocolos de seguridad de turno. Y eso que, si alguien es lo bastante espabilado te puede montar una buena en tus infraestructuras de red.

Así que hablaremos del, Wake on LAN SCCM.

Y que es esto? Pues esto es, y sirve para esto! Wake on Lan, pero con nuevas opciones y mas bonito.

Y para usarlo eficientemente necesitamos revisar unas cuantas cositas.

1. revisar si las nuestras estaciones lo soportan y si podemos acceder a ellas. Para eso disponemos de esta herramienta.

http://www.matcode.com/wol.htm .

2. comprobar que las estaciones, routers y swichs(estos últimos menos) soportan WOL:

http://technet.microsoft.com/en-us/library/bb680822.aspx

3. realizar un inventario de que equipos soportan y van a utilizar WOL y su estado (activado, desactivado) para temas de planes seguridad y contingencia.

4. revisar los WOL logs: WOLMgr.log, WOLCMgr.log para monitorizar la actividad del WOL.

5. Monitorizar la actividad WOL – revisar que paquetes relaciónados con WOL son enviados por tu red, por quien y a quien

http://technet.microsoft.com/en-us/library/bb693671.aspx

y para rematar, un poco de información de micro.

http://www.microsoft.com/smserver/partners/intelamt.mspx.

Seguridad IT: Forefront -Tools, Forefront-Blog

2007-12-10T01:00:00.000-08:00

Hoy solo un pequeño apunte, el nuevo blog y recopilación de herramientas de Microsoft para la seguridad.
ForeFront Web

ForeFront Blog

Para estar al dia sobre esas cosas de seguridad y tenerlos todo atado.

Seguridad IT: Administración de Activos de Software

2007-12-03T12:25:00.000-08:00

Una de las actividades mas tediosas, de la administración de un sistema, sin utilizar software libre, es la de gestionar todas esas licencias que posees y su mantenimiento.

Principalmente tenías dos posiciones, para enfrentar este problema.

La primera, consistía en que trabajas en una gran empresa y dispones de una licencia corporativa, asi que, instalas, instalas e instalas sin preocupar de nada (tiempos felices). Y la segunda, consistía en que no estas es una gran empresa y tienes que gestionar una a una todas las licencias que posees (hojas de Excel, word?).

Pero para eso los chicos malos disponen de un pequeño juguete que es de lo mas útil para gestionar esos caos de claves que solemos poseer.

Administración de Activos de Software by Micro, mas conocido como “SAM”El cual nos reporta, inventarios de software, mantenimiento, diseño y ejecución de políticas, procedimientos específicos, tecnologías, gestión de compras y recepción, instalaciones y soporte.

Ósea para el dia a dia de esas cosas que hacemos a diario.

SAM aqui

Sin seguridad IT: Oraculo Gartner

2007-11-25T04:16:00.000-08:00

Gartner pronostica la caida de los precios de las licencias de software
via Diario IT

El oráculo de la seguridad, software, innovación y un montón de cosillas mas (aunque si el rio suena agua lleva) pronostica la caída de las licencias de software propietario y el auge del software libre. Claro que si opinas de sobre todo, sobre algo acertaras, la ley del 80% 20%.

Pues la verdad, es que vamos dados! Si ya tenemos problemas de seguridad con el software mantenido y actualizado por empresas, cuando nos pasemos al libre y nuestros sistemas y aplicaciones revienten, quedara muy bonito en las reuniones del equipo de administradores y ante el consejero de dirección que estamos esperando a que un guru del software libre le de por levantarse una mañana y sacar un parche que solucione ese agujerillo de seguridad que permite que cualquier quinceañero que se descargue un script exploit de la Web de hackers de turno nos reviente nuestro flamante plan de explotación de sistemas y nos tumbe nuestro CDP.

Pero nos consuela que el Cuadrante, no es más que un ejercicio de predicción más o menos condicionado, por los intereses de la industria.

Cualquiera puede pronosticar que los ordenadores seguirán siendo más rápidos, pequeños y con mayor capacidad de almacenamiento.

O que el P2p seguirá creciendo en volumen y complejidad de encriptación.

O el cambio de la industria de la música hacia nuevos modelos de difusión, centrados en los propios artistas, lejos de la influencia de las discográficas.

Y podíamos seguir asi con un largo etc.

aunque los pequeños talibanes Linuxeros, esa parte de usuarios de linux que es una minoria extemista, se lanzaran a la blogosfera a celebrar la caida de Microsoft, Sun, IBM, en una nueva noche de los "monitores rotos" y fundiran y levantaran nuevos idolos de silicio decorados con leds dorados, de Richard Stallman. Para celebrar el nuevo advenimiento de los tiempos del pinguino, el en apocalipto del software libre.

alabado sea Linux Torvall.

PD.

si Microsoft, IBM, Sun regalasen las licencias a las universidades el futuro de determinadas tecnologias seria, incierto en un plazo muy corto.

Pero de algo teníamos que hablar!

Seguridad IT: El Quiosco IT de España.

2007-11-23T00:18:00.000-08:00

Según la lista del TOP 100 de empresas de desarrollo de software, lamentablemente España no se encuentra en ella. Siendo el desarrollo del software uno de los pilares económicos y punta de lanza del desarrollo IT. España esta España nuestra, se queda a las puertas de África. Da igual, la cantidad de inversión que realiza el estado español si al final los proyectos, no son realistas ni se orientan al mercado vigente, ni que se inviertan millones de euros en seudo-organismos de promoción de las empresas IT, a los cuales solo basta con echar un vistazo e sus líneas de trabajo para apreciar la falta mas absoluta de resultados, quedándose todo en operaciones de imagen populistas.

Últimamente también se a observado como determinadas asociaciones de fabricantes de software, están mas interesadas en obtener reformas fiscales y subvenciones que en desarrollar tecnología y eso que mas de una, no son mas que revendedores de software libre (san Linux) con un lavado de cara.

La lista de la vergüenza The truffle100

Seguridad IT: The Microsoft Architecture Journal

2007-11-21T00:53:00.000-08:00

Revista de Micro sobre arquitectura IT y afines, gratuita y en varios idiomas, eso si tenemos que registrarnos.

aqui

Seguridad IT: Sin seguridad Confidencial

2007-11-19T13:32:00.000-08:00

A pesar del empeño demostrador por la administración en exigir aplicación escrupulosa de la OLPD, para la protección de los datos de los ciudadanos. En estos momentos nos encontramos con la ratificación y aplicación de tapadillo, de una normativa europea que permite la cesión y venta de los datos recopilados por la propia administración.

La aplicación de esta normativa ya se encuentra publicada en el BOE aqui.

En estos momentos se esta investigando a GOOGLE por la UE en referencia a la información confidencial de sus usuarios que maneja. Pero los mismos gobiernos se encargan de aplicar una normativa (rasero, moral) distinta, permitiéndose venden los datos recopilados de sus ciudadanos a empresas privadas.

Seguridad IT: Clasificación De Amenazas Web

2007-11-14T00:47:00.000-08:00

Es bueno hablar de seguridad, y es todavía mejor saber de lo que ese habla y tener los conceptos claros de lo que es cada cosa.

Esta es una guía muy útil para todos aquellos Gerentes TecnoLles, jefecillos de proyectos y supuestas empresas IT que no saben de lo que hablan ni tienen intención de saberlo.

He tratado este tema, debido a las ultimas genialidades que he escuchado en una reciente reunión de trabajo.

La clasificación ha sido realizada por la Weappsec.org y te puedes descargar el PDF en castellano aquí.

Pd.

Personalmente yo, me la he releído. De vez en cuanto es necesario repasar los conceptos, para mantener la objetividad. Ya que después de cierta reunión, no me queda nada claro quien estaba metiendo la pata.

Seguridad IT: Ventaja Competitiva.

2007-11-08T02:07:00.000-08:00

Como hoy estoy de un humor excelente, no voy a hablar de esas normas ISO aburridas ni de checksList de seguridad y vamos ha hablar de planteamientos básicos de organización de la seguridad y mas exactamente sobre Gestión IT con un pequeño ejemplo de ventajas competitivas, (se podría aplicar la comparación con Linux y Micro, IBM o Sun, en su pequeño conflicto por la dominación del mundo). Y como ejemplo tenemos una pequeña lectura en el blog de http://www.historiaclasica.com/2007/11/la-ventaja-competitiva-del-ejrcito.html en el cual se analiza la eficacia de las legiones romanas a través de una serie de premisas básicas.

Liderazgo:
Estrategia y objetivos:
Sistema de recompensas:
Superioridad tecnológica:
Formación:
Superioridad técnica:
Selección de personal:

Si analizamos estas premisas y las extrapolamos a las políticas empresariales de los grandes (Micro, IBM, Sun) resulta obvio, que aunque proyectos como Linux son muy validos, pero no dejan de carecer de la capacidad de “corredor de fondo” que se necesita para ganar una guerra, aunque se obtengan pequeñas victorias puntuales. Ya que “las guerras se ganan a través de las industrias”.

Este planteamiento se aplica también a la gestión de la seguridad IT, da igual la pequeña victoria o golpe de mano estratégico que consiga dar el hacker de turno, su esfuerzo es puntual y se basa en explotar una debilidad puntual de enemigo “las armas secretas, solo son secretas y efectivas una sola vez” así que al final, los equipos de seguridad, los planes de contingencia y los procedimientos de continuación de negocio, se impondrán sobre los sucesos puntuales y la carrera de fondo será ganada por las empresas.

El resto de sucesos y situaciones son puntuales y no presentan repercusiones graves en las líneas generales del plan de operaciones final.

Seguridad IT: Coleccion de Reglas ISO Seguridad Gratuitas

2007-11-06T01:51:00.001-08:00

Empezaremos el dia con un poquito de cultura de libre distribución, sobre esas normas ISO que tanto nos gustan y que tanto cuestan.

Pero existe una pequeña colección de ellas que son gratuitas y que tratan sobre el tema que nos interesa. La seguridad IT.

Estos son los Freely Available Standards y se pueden descargar y revisar aquí.

De todos estos destacamos:

ISO/IEC 15408: criteria IT security.
ISO/IEC TR 15446: Guide for the production of Protection Profiles and Security Targets.
ISO/IEC 18045: Metodología para la Evaluación de la Seguridad IT
ISO/IEC 21827: Model, SSE-CMM.

Aunque podrás encontrar ISO de casi todos los temas que te interese auditar.

Seguridad IT: IT Security Essential Body Knowledge

2007-11-06T01:36:00.000-08:00

En este documento del “Department of Homeland Security USA” nos muestra como definir en 4 áreas de actuación, la seguridad IT, atraves de las aproximaciones e implementaciones necesarias para la ejecucion de cualquier proyecto de seguridad.

Estas son:

-Diseño

-Gestion

-Implementación

-Evaluación

Todo ello “aderezado” con roles de actuación para las distintas areas de influencia y procedimientos de actuación.

Además de proponer unos roles basicos de gestion. Los cuales son extremadamente utiles a la hora de definir nuestros organigramas de mando, gestion y de responsabilidad.

Descarga aquí en PDF

Seguridad IT: Gestión de Correo Electrónico Corporativo.

2007-10-25T02:26:00.000-07:00

Este es un tema que ya hemos tratado en este blog hace algún tiempo, con el articulo “Si lees este mail, estas cometiendo un delito!”

Pero merece la pena recordarlo, debido a la reciente sentencia del tribunal supremo sobre esta cuestión.

“El Tribunal Supremo prohíbe que la empresa acceda a su correo si no está establecido en su contrato o en un pacto específico”

“Según la ley, el registro de los efectos personales del trabajador es una medida excepcional que sólo podrá realizarse si tiene como justificación la protección del patrimonio de la empresa o de los demás trabajadores, y siempre debe hacerse en presencia de un representante sindical o, si no lo hubiese, de otro trabajador.”

En lo referente a contrato o pacto específico, se refiriere a los manuales de buenas prácticas y cláusulas de confidencialidad que se aplican o deberían de aplicarse en las distintas políticas de Seguridad IT y Gestión IT de las empresas y corporaciones.

Aunque debemos destacar que estas normas de utilización y la lectura consentida de los contenidos de los correos electrónicos, sigue estando en un limbo legal, ya que en el momento en que los contenidos de los correos, traten contenidos relacionados con afiliación política, vida personal, orientación religiosa u orientación sexual, invalida automáticamente cualquier acuerdo previo con la empresa y se consideraran de contenidos inviolables , al estar estas áreas incluidas dentro de los derechos constitucionales inviolables del individuo.

CheckList de Continuidad de negocio IT para PYMES

2007-10-17T01:56:00.000-07:00

Publicado por capital one, en la cual describen los puntos y procedimientos a aplicar en caso de caídas catastróficas de nuestras infraestructuras. (si los procedimientos a aplicar para ese dia que nunca creiste que llegaria!)

1) Develop a business continuity / disaster recovery plan.

Donde esta ese maldito documento?

2) Alternative operational locations
Quien tiene un garaje grande?

3) Backup site.

Tenemos copia de esto? Y de esto otro? Y de todo?
4) Safeguard your property?

Acuérdate de cerrar al salir!

5) Contact information

Por quien pregunto?
6) Communications

Ese connector va al Servidor y ese otro al telefono Movil
7) Employee preparation

Quien sabe como funciona esto?
8) Customer preparation

Y los de mantenimiento saben como funciona
9) Evacuation order

Las mujereres y los niños primero
10) Cash management

Tienes algo suelto para comprar un CPD nuevo
11) Post-disaster recovery procedures

Vale! alguien tendrá que recoger y barrer todo este desastre.

Pero de una manera mas seria. Estas son las preguntas que cualquier administrador o gestor IT que se precie, debería de hacerse y revisar si las cumple.

CheckList

Gestion de Eventos de Seguridad para PYME

2007-10-17T01:41:00.000-07:00

"Guía Metodológica para la Gestión Centralizada de Registro de Eventos de Seguridad en Pymes". Un documento de indispensable lectura el cual nos presenta las bases de una gestion y analisis de eventos de seguridad para las Pymes, asi como una primera aproximación a los requerimientos necesarios para el desarrollo de modelos mas complejos de gestion y analisis de seguridad.

Esta guia ha sido realizada por tres investigadores (Edgar Enrique Ruiz, Diana Carolina Niño Mejía y Alejandro Sierra Múnera) de la Pontificia Universidad Javeriana de Bogotá.

aqui

Cuando dos mundos chocan, IIS, Apache

2007-10-13T00:58:00.000-07:00

Como hoy es sábado, solo un pequeño apunte. El estado de situación de IIS7 y Apache.

Unos suben otros bajan, convergencias positivas y convergencias negativas y el dia en que estas dos lineas se crucen. Internet estallara en una flame final sobre la conspiración de dominacion mundial de MicroSoft.

Aunque no lo deben de estar haciendo tan mal. Por IIS se paga y por Apache no. Asi que supongo que a nuestros amigos linuxeros les toca ponerse las pilas en uno de esos multiples arboles de desarrollo de apache que tienen y sacar una version nueva y mejorada que le plante cara a IIS. O no seran capaces?

Gartner's top 10 Strategic technologies for 2008

2007-10-10T02:07:00.000-07:00

O lo que es lo mismo el guru de la tecnologia futura ha publicado su famoso cuadrante nostradamus de las 10 tecnologias que daran que hablar en el 2008.

1. Green IT
2. Unified Communications
3. Business Process Management
4. Metadata management
5. Virtualization
6. Mashups
7. The Web Platform
8. Computing fabric
9. Real World Web
10. Social Software

Personalmente aprecio la veracidad de los cuadrantes de Gartner como un disparo de escopeta contra un papel en blanco.

Publica mucho desarrollo de tecnología en plan guru y acierta poco (se pasaron por alto el éxito de los buscadores, los programas P2P, el éxito de las distribuciones de pago de Linux red hat y unas cuantas cositas mas) pero como este cuadrante es utilizado por las grandes empresas para generar confianza en sus productos, desarrollos y chapucillas varias, tiene mucha “validez”.

Los versos profeticos de Nostradmus tienen la misma validez, si los lees, son lo bastante ambiguos para relacionarlos con cualquier hecho pasado, y esa misma ambigüedad se puede aplicar a los hechos futuros, osea no vas a profetizar nada que no este delante de tus narices.

articulo en ingles aqui

Pd.
Saludos a nuestros amigos de:
Hewlett-Packard Company, Europe
Universidad Nacional Autonoma de Mexico, Mexico, Distrito Federal, México
Uninet S.A. de C.V., Cancún, Quintana Roo, México
Cableuropa - ONO
Consejeria de presidencia Castilla y Leon
Fomento de España
y un largo etc.

Grupo de Usuarios VMware de Iberia.

2007-10-05T02:13:00.000-07:00

Es una oportunidad única para conocer a colegas con los que debatir las novedades de la virtualización, mejores prácticas y nuevas tecnologas. Lugar el viernes 26 de Octubre, en Centro Regus Puerta de las Naciones.

AGENDA

09:30 -	Bienvenida
10:00 -	Technology Previews: Anuncios de VMworld07 - ESX 3i - Site Recovery Manager - Virtual Desktop Manager - Storage vMotion - Continuous Availability
11:00 -	Descanso
11:30 -	Best Practices: Recomendaciones de Diseño - Almacenamiento - Networking - Backup
13:00 -	Conclusiones y Diseño de la Próxima Reunión
14:00 -	Cierre

26 de octubre 2007
9:30 - 14:00

Localizacion:
Centro Regus Puerta de las Naciones
C/ Ribera del Loira 46 Campo de las Naciones
28042 Madrid

Registro

Como Llegar

CheckList ITde INTERPOL

2007-10-04T02:38:00.000-07:00

Una pequeña reseña, CheckList de Seguridad IT.

Asi podremos saber cuan burros somos, y que deberes no hemos hecho en nuestras infraestructuras y la gestion de la misma.

CheckList aqui

PD.

Si alguien consigue el 100% de aciertos o errores que lo postee! :)

y continuamos con una guia sobre BS25999, mas conocido como continuidad de negocio. Si! ese plan que tienes que aplicar, cuando un pedazo de un satelite chino militar a impactado de pleno en tu CPD, desintegrando los servidores,la sala de copias de seguridad y se supone que la empresa tiene que seguir funcionando.

Jeje! se supone!

By Avalutiun